[Tech] Stranezza su IPTables
St0rM
storm@elemental.it
Mer 4 Lug 2001 21:34:54 CEST
>>Del resto qualunque pacchetto di ritorno dopo un masquerade avrebbe un
>>indirizzo esterno. Se per esempio mi connetto dalla macchina A ad un
>>sito www, io apro da A una connessione alla macchina WWW, passando per
>>GW che MASQUERA il pacchetto cambiandone l'indirizzo di provenienza. A
>>quel punto il server WWW risponde mandando il pacchetto a GW che SA che
>>su quella porta il pacchetto che torna va rimandato ad A cambiandone la
>>destinazione. Quest'ultimo pacchetto e' del tutto uguale a un pacchetto
>>di richiesta di connessione che partisse eventualmente dal server WWW (o
>>da qualcunque altro computer) diretto ad A se avesse GW come gateway,
>>
>
> Per niente. Il pacchetto che ritorna in risposta al masquerading ha
> per destinazione l'IP di GW (quello pubblico) e una porta di quelle
> assegnate al masquerading, e` il kernel, che conosce tutte le
> corrispondenze, che si preoccupa di far uscire il pacchetto
> sull'interfaccia privata verso A con l'IP di quest'ultimo e la porta
> da cui aveva ricevuto la richiesta. Un pacchetto indirizzato ad A
> direttamente da WWW avrebbe l'IP di A come destinazione gia` in
> partenza da WWW, e potrebbe arrivare a GW esclusivamente se WWW e`
> sulla stessa rete locale (se no il primo router lo piallerebbe via) e
> WWW ha messo GW come gateway per la classe di indirizzi di A, al che
> GW lo cassa lui stesso.
Ehm... E' esattamente quello che ho detto io... io mi riferivo
all'indirizzo di partenza, non a quello di destinazione... E al fatto
che, arrivati al momento di controllare le regole di FORWARD, un
pacchetto che PARTA da un computer esterno per arrivare ad A, che sia o
meno passato attraverso il DE-MASQUERAMENTO non e' possibile saperlo. E
quindi non e' possibile filtrarlo in base a questo.
Maggiori informazioni sulla lista
flug-tech